Мы в example.com испытывают давление с целью внедрения DNSSEC со стороны подразделения нашей организации: security.example.com.
Наши текущие серверы имен ns1.example.com и ns2.example.com являются неподписанными серверами, не поддерживающими DNS.
Мы хотели бы использовать ns1.example.com как скрытый мастер и реализовать встроенная подпись в привязке согласно: Пример # 2 . Наши новые серверы с поддержкой DNSSEC для example.com будет dns1.example.com и dns2.example.com.
Мы хотели бы опубликовать DS записи в .com регистратора, чтобы мы могли внутренне протестировать новые серверы DNSSEC. В SOA останется ns1.example.com (И NS записи пока не будут включать серверы DNSSEC).
У меня вопрос:
Если мы опубликуем DS записи в .com для наших серверов DNSSEC, DNS-серверы, проверяющие dnssec, сломаются, когда они поймут, что функциональность DNSSEC отсутствует на ns1.example.com или ns2.example.com?
И
Есть ли какие-либо другие побочные эффекты, на которые мы должны обратить внимание при использовании этой гибридной установки?
Если вы публикуете записи DS в зоне tld, а ваши общедоступные серверы имен не поддерживают DNSSEC, ваши записи не пройдут проверку.